ISO 27000 -tietoturvastandardisarja osana nykypäivän yritysten tietoturvallisuuden hallintaa
Authors
Date
2023Copyright
© The Author(s)
Tämän tutkimuksen tavoitteena oli selvittää, miten ISO 27000 -
tietoturvastandardisarja on osana nykypäivän yritysten tietoturvallisuuden
hallintaa. Tutkimuksessa keskitytään standardeihin ISO 27000, ISO 27001 sekä
ISO 27002, joista ISO 27001 -standardia käsiteltiin yrityksille myönnettävän ISO
27001 -sertifikaatin avulla. Näkökulma tarkasteluun valittiin kyseisten
standardien myötä, sillä ne keskittyvät olennaisesti yritysten tietoturvallisuuden
hallintaan sekä sen suunnitteluun, toteutukseen, ylläpitoon ja parantamiseen.
Tutkimuksen rajaus kohdistettiin Suomessa toimiviin eri liiketoiminta-alan
yrityksiin, jotka ovat viime vuosien aikana saavuttaneet ISO 27001 -sertifikaatin.
Tutkimuksen kirjallisuuskatsaus muodostuu yritysten tietoturvallisuuden
hallinnasta sekä tietoturvapolitiikan ja tietoturvan hallintajärjestelmän
viitekehyksestä. Kirjallisuuskatsauksessa keskitytään myös ISO 27000 -
tietoturvastandardisarjaan ja erityisesti standardeihin ISO 27000, ISO 27001 ja
ISO 27002, sekä niiden historiaan ja kehitykseen aina nykyhetkeen asti.
Tämä tutkimus toteutettiin laadullisena tutkimuksena ja laadullisen
aineiston keräämiseen käytettiin sähköistä kyselylomaketta, johon vastasivat
tutkimukseen osallistuneet yritysten edustajat. Tutkimuksen tulosten tavoitteena
oli selvittää, kuinka tutkimukseen osallistuvat yritykset käyttävät standardeja
ISO 27000 ja ISO 27002 tietoturvallisuutensa hallinnassa sekä sen ohjaamisessa.
Tulosten tavoitteena oli myös tarkastella yritysten saavuttaman ISO 27001 -
sertifikaatin hakuprosessia muun muassa sen keston ja haastavuuden
näkökulmista.
Tutkimukseen osallistui neljä yritystä, joten otanta oli pieni. Tämän takia
yleistävien päätelmien teko Suomessa toimivien eri liiketoiminta-alan yritysten
tietoturvallisuuden hallinnasta ei voida tehdä. Tutkimustulokset kuitenkin
antavat yleiskatsauksen juuri tämän tutkimukseen osallistuneiden yritysten
tietoturvallisuuden hallinnasta ISO 27000 -tietoturvastandardin avulla.
...
The aim of this study was to find out how the ISO 27000 series of information
security standards is part of today's organizations information security
management. The research focuses on the standards ISO 27000, ISO 27001, and
ISO 27002, of which the ISO 27001 standard was handled with the help of the ISO
27001 certificate granted to organizations. The perspective for the review was
chosen along with the standards in question, as they essentially focus on the
management of organizations information security and its planning,
implementation, maintenance and improvement. The scope of the research was
focused on organizations operating in various business sectors in Finland, which
have achieved the ISO 27001 certificate in recent years.
The literature review of the research consists of the information security
management of organizations and the reference framework of the information
security policy and information security management system. The literature
review also focuses on the ISO 27000 series of information security standards and
especially the standards ISO 27000, ISO 27001 and ISO 27002, as well as their
history and development up to the present.
This study was carried out as a qualitative study and an electronic
questionnaire was used to collect qualitative data, which was answered by the
representatives of the organizations that participated in the study. The aim of the
results of the study was to find out how the organizations participating in the
study use the standards ISO 27000 and ISO 27002 in managing and directing their
information security. The goal of the results was also to examine the application
process for the ISO 27001 certificate achieved by the companies, for example from
the perspective of its duration and challenge.
Four organizations participated in the study, so the sample was small.
Because of this, it is not possible to make generalizing conclusions about the
information security management of organizations operating in different
business sectors in Finland. The research results, however, give an overview of
the information security management of the organizations that participated in
the research using the ISO 27000 information security standard.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29559]
License
Related items
Showing items with similar title or keywords.
-
Julkisen hallinnon tietoturvallisuuden arviointikriteeristö tietoturva-arviointien välineenä
Laitila, Rami (2023)Tutkimuksessa pyrittiin selvittämään, miten Julkri eli Julkisen hallinnon tietoturvallisuuden arviointikriteeristö toimii tietoturva-arviointien välineenä ja miten se suhteutuu aiemmin julkaistuihin tietoturvallisuuden ... -
Tietoturvastrategian ja -politiikan merkitys kyberhyökkäyksen torjunnassa kunnissa
Tammelin, Jussi (2021)Eri julkisia organisaatioita kohtaan on tapahtunut viime vuosi useita onnistuneita ja julkisuuteen nousseita kyberhyökkäyksiä. Vuonna 2019 muun muassa Lahden ja Kokemäen kaupunkien tietojärjestelmiin toteutettiin onnistuneet ... -
ISO 27001-tietoturvastandardin soveltaminen Carunalla
Seppälä, Enni (2022)ISO 27001 -standardi erittelee vaatimukset tietoturvallisuuden hallintajärjestelmän perustamiseen, täytäntöönpanoon, käyttöönottoon, seurantaan, tarkistamiseen, ylläpitoon sekä jatkuvaan parantamiseen. Tässä kandidaatintyössä ... -
ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen
Salovaara, Sami (2022)Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ... -
Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti
Eerola, Jyrki (2021)Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin ...